Сообщение "Разрешения для этого объекта групповой политики в папке sysvol несовместимы с разрешениями в Active Directory" при запуске GPMC
Эта статья содержит сведения об устранении ошибок, возникающих при запуске групповая политика консоли управления (GPMC).
Применяется к: Windows Server 2012 R2
Оригинальный номер базы знаний: 828760
Симптомы
При запуске GPMC в домене Microsoft Windows Server и выборе политики домена по умолчанию или политики контроллеров домена по умолчанию появляется одно из следующих сообщений:
Если у вас есть разрешения на изменение безопасности в объектах групповая политика , вы получите следующее сообщение:
Разрешения для этого объекта групповой политики в папке sysvol несовместимы с разрешениями в Active Directory. Рекомендуется обеспечить согласованность этих разрешений. Чтобы изменить разрешения в SYSVOL на разрешения в Active Directory, нажмите кнопку ОК.
Если у вас нет разрешения на изменение безопасности групповая политика объектов (GPO), появится следующее сообщение:
Разрешения для этого объекта групповой политики в папке sysvol несовместимы с разрешениями в Active Directory. Рекомендуется обеспечить согласованность этих разрешений. Обратитесь к администратору, который имеет права на изменение безопасности в этом объекте групповой политики.
Причина
Эта проблема возникает из-за того, что список управления доступом (ACL) в части Sysvol объекта групповая политика настроен на наследование разрешений из родительской папки.
Состояние
Корпорация Майкрософт подтвердила, что это проблема в продуктах Майкрософт, перечисленных в разделе "Применимо к" этой статьи.
Обходной путь
Если у вас есть разрешения на изменение безопасности для объектов групповой политики по умолчанию, нажмите кнопку ОК в ответ на сообщение, описанное в разделе "Симптомы". Это действие изменяет списки управления доступом в части Sysvol объекта групповая политика и делает их согласованными с списками управления доступом в компоненте Active Directory. В этом случае групповая политика удалит атрибут наследования в папке Sysvol.
Дополнительная информация
Каждый объект групповая политика (GPO) частично хранится в папке Sysvol на контроллере домена и частично в службе каталогов Active Directory. GPMC, групповая политика Object Редактор и старый групповая политика пользовательский интерфейс, предоставляемый в оснастках Active Directory, представляют объект групповой политики и управляют им как единый блок. Например, при настройке разрешений на объект групповой политики в GPMC GPMC устанавливает разрешения для объектов в Active Directory и в папке Sysvol. Для каждого объекта групповой политики разрешения в Active Directory должны соответствовать разрешениям в папке Sysvol. Эти отдельные объекты не следует изменять за пределами GPMC и групповая политика объектных Редактор. Если это сделать, это может привести к сбою обработки групповая политика на клиенте или некоторые пользователи, у которых обычно есть доступ, больше не смогут редактировать объект групповой политики.
Кроме того, объекты файловой системы и объекты службы каталогов не имеют одинаковых доступных разрешений, так как они являются различными типами объектов. Если разрешения не совпадают, сделать их согласованными может быть непросто. Чтобы обеспечить согласованность безопасности для Active Directory и компонентов Sysvol объекта групповой политики, GPMC автоматически проверяет согласованность разрешений любого объекта групповой политики при щелчке объекта групповой политики в GPMC. Если GPMC обнаруживает проблему с объектом групповой политики, вы получите одно из сообщений, описанных в разделе "Симптомы", в зависимости от того, есть ли у вас разрешения на изменение безопасности в этом объекте групповой политики.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по